Обзор новостей информационной безопасности с 25 по 31 июля 2025 года

Дайджест Start X № 428

31 июля 2025
9 минут
эксперт по информационной безопасности в Start X
Андрей Жаркевич

Киберкампании

Особенности кампании
  1. Схема направлена против пенсионеров, людей в трудной жизненной ситуации и с плохой кредитной историей.
  2. Преступники создали сайт, который предлагает оформить виртуальную кредитную карту с лимитом в 100 тысяч рублей. На сайте указано, что выдачу кредиток одобряют «почти всем», а кредитная история «не важна».
  3. Условия кредита, который обещают выдать мошенники — 99% годовых, или 0,27% от суммы займа в день, срок действия кредитного лимита — 1 год.
  4. Для оформления карты пользователям предлагается зарегистрироваться на сайте и заполнить анкету, в течение 10 минут получить одобрение заявки, подписать договор онлайн и получить доступ к кредиту.
  5. При регистрации требуется указать контактный адрес электронной почты и придумать пароль для входа в личный кабинет. При заполнении анкеты пользователей просят указать фамилию, имя и отчество, дату рождения и паспортные данные, ИНН и СНИЛС, адрес регистрации и адрес фактического проживания, а также место работы, стаж работы на последнем месте и персональный доход.
  6. За оформление карты пользователям предлагают перечислить комиссию в 3050 рублей. Эти деньги отправляются к преступникам вместе с чувствительной информацией о гражданине, которые могут использовать для дальнейших атак или передать другим киберпреступным группировкам.
Особенности кампании
  1. Атаки начинаются с рассылки фишинговых писем, имитирующих сообщения от крупных государственных компаний (в частности, из нефтегазового сектора), которые якобы заинтересованы в продуктах или услугах организаций-жертв.
  2. Во вложении находится вредоносный архив с файлами, замаскированными под PDF-документы с описанием требований, необходимых для ознакомления.
  3. На самом деле среди них есть вредоносные исполняемые файлы .exe и .dll.
  4. Чтобы запустить малвари, атакующие используют распространенный метод подмены DLL (Dynamic Link Library), а также легитимную утилиту Crash reporting Send Utility (оригинальное название файла BsSndRpt. exe), входящую в состав решения BugSplat, предназначенную для отправки отчетов о сбоях. Изначально она создавалась для разработчиков, чтобы те могли получать информацию о проблемах в работе приложений в режиме реального времени. В результате действий атакующих утилита открывала вредоносный файл вместо легитимного.
  5. Чтобы малварь могла функционировать далее, она извлекает и загружает код, который хранится в зашифрованном виде в публичных профилях на популярных легитимных платформах.
  6. После выполнения вредоносного кода на устройствах жертв запускается маяк Cobalt Strike, то есть системы оказывались скомпрометированы.

Инциденты

Сразу после обнаружения потенциально затронутые сервисы были изолированы, чтобы минимизировать последствия взлома. Однако эти действия по изоляции систем повлекли за собой перебои в работе некоторых сервисов и управляющих платформ для бизнес-клиентов, а также затронули ряд потребительских сервисов, в основном на территории Франции.
Компания уже уведомила о кибератаке соответствующие органы. Следственная группа пока не обнаружила никаких доказательств того, что в ходе взлома могли быть похищены какие-либо данные.

Телеграм-канал Start X

Подписаться
Наши разборы мошеннических схем поймет даже бабушка
Сначала была обнаружена незащищенная БД Firebase, содержащая личные данные пользователей, а затем была найдена вторая БД, содержащая 1,1 млн личных сообщений, которыми обменивались пользователи.

Tea представляет собой платформу, в первую очередь ориентированную на женщин. Это закрытое сообщество, где все участницы анонимны, но проходят верификацию, предоставляя селфи и документы для подтверждения личности, что должно обеспечивать безопасность и конфиденциальность. Tea позволяет проверять информацию о потенциальных партнерах и делиться «отзывами» о мужчинах, то есть опытом общения и свиданий, а также проверять информацию на предмет мошенничества и фейков, тайных браков, судимостей и так далее.

В конце прошлой недели на 4chan появилась информация о том, что Tea использует незащищенное хранилище Firebase, где можно найти фото документов и селфи, которые пользователи загружают на платформу для подтверждения личности, а также фотографии и изображения, которыми они делятся друг с другом в комментариях.

В результате этой утечки было раскрыто более 59 ГБ данных, включающих около 72 000 изображений, в том числе около 13 000 селфи и фото, предоставленных пользователями при верификации аккаунта, а также около 59 000 изображений, публично доступных в приложении в постах, комментариях и личных сообщениях.

Вскоре после этой утечки в сети нашли ещё одну незащищенную базу данных Tea, содержащая 1,1 млн личных сообщений, которыми обменивались пользователи.

Эта база содержит более свежие данные, начиная с 2023 года и заканчивая прошлой неделей. В БД можно найти сообщения, в которых обсуждались крайне деликатные темы, включая аборты, измены и мужчин-двоеженцев. В некоторых случаях женщины обменивались номерами телефонов, чтобы продолжить общение вне платформы. Любой пользователь Tea мог получить доступ к сохраненным данным других людей, используя собственный ключ API.

Теперь идентифицировать пользователей Tea можно по профилям в социальных сетях, номерам телефонов и другим личным данным, раскрытым в результате утечек.

В итоге платформа, которая должна была стать безопасным пространством для женщин, превратилась в инструмент для буллинга. К примеру, в сети уже появляются сайты, где предлагается оценить селфи пользовательниц Tea, взятые из утекших данных. На сайте даже публикуется рейтинг 50 лучших и 50 худших.
«Мы столкнулись с серьезным техническим сбоем вследствие хакерской атаки. В результате чего была нарушена работа аптек. Команда наших специалистов работает над восстановлением сервисов. В настоящее время уже половина наших аптек открыты для покупателей», — гласит официальное заявление, размещенное в Telegram-канале сети «Столички».

В одной из работающих аптек «Неофарм» в Москве корреспонденту СМИ рассказали, что всего по городу остались работать 20−30 аптек сети, а остальные были вынуждены закрыться из-за хакерской атаки. По словам сотрудников, это произошло ещё вчера.

Проблемы в работе из-за технических сбоев 29 июля возникли у московской сети клиник «Семейный доктор». На сайте клиники сообщается, что временно не работают личный кабинет пациента и сервис онлайн-записи. Как сообщили администраторы клиники, прием у врачей ведется в порядке живой очереди, так как базы недоступны.

Позднее компания «Медицина АльфаСтрахования» (управляет сетями «Альфа-Центр Здоровья» и «Семейный доктор») сообщила, что проблемы у ООО «Медицинская клиника „Семейный доктор“» возникли из-за хакерской атаки, которая была нейтрализована в течение нескольких часов.

«Утечка данных не подтверждена. Клиника „Семейный доктор“ продолжает вести прием пациентов. Критически важные сервисы постепенно возвращаются в штатный режим работы», — говорится в официальном заявлении.
«В данный момент зафиксирована авария на всю сеть, связанная с вредоносной активностью (DDoS-атака). Специалисты уже занимаются решением проблемы. Как только доступ к услугам возобновится, мы сразу же оповестим вас», — говорится в сообщении на сайте компании.

Компания AirNet предоставляет цифровые услуги связи физическим и юридическим лицам: интернет, телевидение, телефония, и системы контроля доступа, а также входит в десятку самых крупных интернет-провайдеров в Санкт-Петербурге.
Уязвимость затрагивает как обычных клиентов, так и моделей, использующих сервис в трансляциях. Поскольку ники часто публикуются открыто — например, в соцсетях и на форумах — злоумышленникам не составляет труда сопоставить их с реальными адресами и применять сведения для доксинга или преследования.

По словам исследователя, всё началось с попытки заглушить уведомления от другого участника: после нажатия кнопки «Mute» в ответе API неожиданно отразился чужой email. Это послужило отправной точкой для анализа, в ходе которого выяснилось, что при определённой последовательности действий можно с высокой скоростью массово извлекать адреса по публичным никам.
Пенсионерке из столицы позвонил мужчина, представившийся сотрудником сервисной службы, и сообщил о замене домофона в её доме. Под этим предлогом он уговорил её назвать код из СМС, якобы необходимый для получения новых ключей.

Позже с женщиной связались другие мошенники — теперь уже в роли сотрудников «Роскомнадзора». Они сообщили, что её персональные данные якобы похищены, а на её имя и имя супруга оформлены доверенности. Чтобы «спасти» сбережения, ей предложили строго следовать указаниям по телефону.

За пять дней общения с аферистами женщина передала им 200 тысяч долларов США, 20 тысяч евро, 4 млн рублей и 5 килограммов золота. Общий ущерб составил более 63,7 млн рублей.
Хак-группы «Киберпартизаны BY» и Silent Crow заявили, что это они атаковали «Аэрофлот» и «полностью скомпрометировали и уничтожили внутреннюю IT-инфраструктуру» компании.

В Telegram-канале хакерской группировки Silent Crow появилось сообщение, в котором злоумышленники, совместно с группой «Киберпартизаны BY», берут на себя ответственность за предполагаемую атаку на систему «Аэрофлота», заявляя, что провели в системах компании целый год.

Генпрокуратура России организовала надзорные мероприятия в связи с задержкой и отменой рейсов в аэропорту Шереметьево. Причиной стал сбой в работе информационной системы «Аэрофлота» в результате хакерской атаки.

По материалам прокурорской проверки возбуждено уголовное дело по признакам преступления, предусмотренного частью 4 статьи 272 УК РФ (неправомерный доступ к компьютерной информации).

Что еще почитать

Мужчина в кресле с ноутбуком

Подпишитесь на дайджест Start X

Еженедельная подборка материалов и аналитики про цифровые атаки на людей, технологии защиты, безопасность инфраструктуры и приложений
Нажимая кнопку «Отправить заявку» вы соглашаетесь с политикой обработки персональных данных.